网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Spring Cloud Data Flow任意文件写入漏洞(CVE-2024-22263)的安全预警

日期:2024-05-29阅读:

关于Spring Cloud Data Flow任意文件写入漏洞(CVE-2024-22263)的安全预警

一、 基本情况

Spring Cloud Data FlowSCDF)是一个基于微服务的工具包,用于在 Cloud Foundry Kubernetes 中构建流式和批量数据处理管道。Spring Cloud Skipper 是一个用于管理 Spring Boot 应用程序版本和生命周期的工具,它是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作。

二、 漏洞描述

Spring Cloud Data Flow中修复了一个任意文件写入漏洞(CVE-2024-22263)。

该漏洞存在于Spring Cloud Data Flow Spring Cloud Skipper组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问 Skipper Server API 的威胁者可以通过恶意设计的上传请求将任意文件写入文件系统上的任意位置,成功利用该漏洞可能导致服务器被破坏或控制。

三、 影响范围

Spring Cloud Skipper 2.11.0 - 2.11.2

Spring Cloud Skipper 2.10.x

四、 修复建议

目前该漏洞已经修复,受影响用户可更新到Spring Cloud Data Flow 2.11.3,或将Spring Cloud Skipper 组件升级到2.11.3

下载链接:

https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.11.3

五、 参考链接

https://spring.io/security/cve-2024-22263

https://spring.io/projects/spring-cloud-skipper

https://spring.io/projects/spring-cloud-dataflow

 

我是盾盾